Amazon har fixat en potentiell exploatering upptäckt av Checkmarx. Den senares forskare sa att Alexa möjligen kunde hålla koll på dig även om du var helt omedveten om att illvilliga utomstående förvandlade ditt Echo till en lyssningsenhet. Laboratoriets experter upptäckte ett sätt att hålla Amazons röstassistent ständigt lyssnande.

Alfred Ng i CNET sa "Amazon sa att det har åtgärdat de rapporterade problemen sedan dess." Till exempel, Ng rapporterade, Amazon tog bort möjligheten att tysta uppmaningar, och det förkortade tiden som Alexa kunde lyssna på.

Checkmarx beskrev vad som pågick. "För ekot, liknande Google Home med röstassistent, att lyssna är nyckeln. Enheten lyssnar kontinuerligt för att fånga dig säga dess vakna ord (t.ex. "Alexa"), så att den kan ge dig det du behöver direkt, sa Checkmarx.

Men forskarna blev nyfikna. Kunde Echo spela in en användare utan att användaren var medveten om att den spelades in? Kan detta vara en tyst avlyssnare, fungerar som en tappanordning?

"Amazon Echo (med sin virtuella assistent känd som Alexa) är den mest sålda Intelligent Personal Assistant (IPA) någonsin, med över 31 miljoner sålda enheter hittills, sade Checkmarx. med dess ökade popularitet, en av de största problemen med IPA är integritet, " och de noterade att oro inkluderade rädslan för att omedvetet bli registrerad.

Maty Siman och Shimi Eshkenazi arbetade i Checkmarx-labbet för att se vad som kunde hända om de försökte förvandla sitt Amazon Echo till en avlyssningsenhet.

Trådbunden återspeglade hur de inte ens behövde bli involverade i att hacka röstassistenten för att förvandla den till en spion; Avlyssning kom från bara någon smart kodning.

Lily Hay Newman skrev om hur de fixade det. Hon sa att forskarna skapade "en skadlig Alexa-applet - känd som en "färdighet" - som kunde laddas upp till Amazons Skill Store."

(Men vad är Skill? Ng förklarade att Alexa använder Skills för att utföra kommandon. "Du frågar om det kommer regn, till exempel, och Alexa använder "Väder"-färdigheten för att svara.")

Newman skrev, "Att använda en färdighet, du måste säga enhetens vakna ord för att mikrofonen ska börja överföra ljud över internet för bearbetning. I Checkmarx exempel, när användaren sedan ber sin aktiverade miniräknare att göra lite enkel matematik, den begäran dirigeras till färdigheten, som returnerar svaret."

Det var där saker och ting blev intressanta. Även om interaktionen skulle sluta där, och mikrofonen skulle sluta sända, teamet programmerade färdigheten så att "en utvecklarfunktion som heter 'shouldEndSession' automatiskt skulle hålla Echo-lyssnande en annan cykel." Och, med ytterligare drag från forskarnas sida, de fann att Echo skulle vara tyst och inte låta en användare veta att sessionen fortsatte.

Checkmarx berättade för Amazon om deras attackscenario och Amazon lyssnade (ingen sarkasm avsedd).

Checkmarx listade några av de åtgärder som vidtogs:Fastställande av specifika kriterier för att identifiera (och vid behov avvisa) avlyssningsfärdigheter under certifieringen; upptäcka tomma uppmaningar och vidta lämpliga åtgärder; upptäcka längre sessioner än vanligt och vidta lämpliga åtgärder.

Ng i CNET:Checkmarx sa att Amazons korrigeringar gjorde det omöjligt att upprepa samma avlyssningstaktik. När det gäller Amazons reaktion, bärs in Trådbunden :En företagstalesman sa i ett uttalande att, "Vi har infört begränsningar för att upptäcka den här typen av skicklighetsbeteende och avvisar eller undertrycker dessa färdigheter när vi gör det."

© 2018 Tech Xplore